Procedimiento Gesti

Código: GA- PR-AC-
Sistema de Gestión de la Calidad 009

Versión: 0 Fecha:
PROCEDIMIENTO GESTIÓN DE 1 09/12/2015
RIESGOS Página 1 de 29
PROCEDIMIENTO GESTIÓN DE RIESGOS
CONTROL DE CAMBIOS DEL DOCUMENTO

VERSIÓN DESCRIPCIÓN U ORIGEN DEL
APROBÓ FECHA
No CAMBIO
01 Se elabora la primera versión del Secretario 09-12-2015
procedimiento de Gestión de Riesgos General
Elaborado por: Revisado por: Aprobado por:
Jairo Sánchez Quintero Jairo Sánchez Quintero Camilo Noguera Abello

Diana Carvajal Martínez Fecha: Fecha:
Fecha: 09/12/2015
Código: GA- PR-AC-
Versión: 0 Fecha:
1. OBJETIVO DEL PROCEDIMIENTO
Contribuir a definir, apreciar, tratar y monitorear los riesgos que puedan afectar a
la Universidad Sergio Arboleda Seccional Santa Marta, mediante la integración de
las herramientas para la Gestión del riesgo en todos los procesos - dependencias
y los diferentes integrantes de la comunidad sergista.
2. ALCANCE
El presente documento aplicará a todas las actividades y relaciones de la

Universidad Sergio Arboleda Seccional Santa Marta, tanto internas como externas.
 A todos los procesos de institución.

 A todas las dependencias
 A toda la comunidad universitaria.
 A estudiantes, docentes, egresados, padres de familia y los proveedores.
 A las partes de la sociedad donde la institución impacta directa e
indirectamente.
3. RESPONSABLES
 Rector
 Secretario General
 Decanos
 Líderes de procesos
 Coordinadores
 Proveedores
 Estudiantes y beneficiarios de los servicios de la Universidad
4. GLOSARIO Y SIGLAS
 Calidad: grado en el que un conjunto de características inherentes al servicio

satisfacen los requisitos de estudiantes y personas interesadas.
 Control Preventivo: Son la primera barrera de seguridad. Actúan sobre la
causa de los riesgos y sus amenazas para disminuir la probabilidad de
ocurrencia.
 Control de Detección: Corresponden a la segunda barrera de seguridad. Es
una alarma que se acciona cuando se descubre una situación.
Código: GA- PR-AC-
Versión: 0 Fecha:
 Control Protección: Constituyen la tercera barrera de seguridad o neutralidad

y disminuyen el efecto inmediato de un riesgo materializado, con el fin de evitar
mayores pérdidas.
 Grado de control débil: Los controles aplicados son insuficientes para
prevenir o mitigar el riesgo.
 Grado de control fuerte: Se presta una atención significativa al riesgo. Se han
adoptado la mayoría de los controles económicamente viables. Se mantiene un
sistema de monitoreo constante
 Grado de control moderado: Los controles aplicados proporcionan una
certeza razonable de control, aunque no permiten la gestión de todos los
eventos de riesgo potenciales.
 Impacto: Grado en el que un evento podría afectar el valor de la empresa en
ausencia de medidas de mitigación.
 Matriz de riesgo: Herramienta que permite clasificar y visualizar los riesgos,
mediante la definición de categorías de consecuencias y de su probabilidad.
 Riesgo: evento, desviación, falla, circunstancia, condición, contingencia,
peligro o situación imprevisible, previsible, controlable, incontrolable,
inesperada y/o adversa que con alguna probabilidad puede afectar el logro de
los objetivos y la normal operación de la Universidad, ocasionando daños,
pérdidas y efectos o consecuencias negativas.
 Riesgo Residual: nivel de riesgo que permanece luego de tomar medidas de
tratamiento de riesgo.
 Velocidad: El tiempo requerido para que un evento de riesgo afecte al
negocio.
 Vulnerabilidad: Riesgo remanente luego de considerar los esfuerzos para
vigilar, gestionar y mitigar el impacto.
5. CONTENIDO
5.1 POLÍTICAS DE RIESGOS
La Universidad Sergio Arboleda Seccional Santa Marta se compromete con la

adecuada gestión de riesgos y la implementación de acciones preventivas y
controles para su eliminación o mitigación como una práctica proactiva que
contribuya a mejorar la probabilidad de alcanzar los objetivos institucionales en
función del mejoramiento de la calidad del servicio educativo que se brinda a los
estudiantes.
Esta política de Gestión del riesgo se articula armónicamente con los objetivos de
calidad, la política de calidad, la política de tratamiento de quejas y sugerencias,
Código: GA- PR-AC-
Versión: 0 Fecha:
la visión, la misión, los objetivos contemplados en el Proyecto Educativo

Institucional y las metas de los planes estratégicos y de mejoramiento de todos
los procesos y dependencias.
Los riesgos en la Universidad podrían ser de carácter estratégico, financiero,

operativo, tecnológico, humano o de incumplimiento. Los riesgos son más que
sutiles hipótesis cuando la probabilidad de su ocurrencia e impacto sobre vidas,
personas y daño a bienes es alta. Para que éstos no se materialicen es necesario
identificarlos, priorizarlos, evitarlos, manejar escalas de probabilidad e impacto,
tratarlos, cuantificar la relación costo – beneficio, adoptar medidas o controles,
hacerles seguimiento, mejorar permanentemente su gestión y elaborar planes de
emergencia y contingencia.
La gestión del riesgo en la Universidad es responsabilidad y obligación de todos

los líderes, directivos, coordinadores y colaboradores de todos los procesos y
dependencias. La universidad desea configurarse como una organización
ejemplar en la ausencia de conflictos de interés y en su tratamiento eficaz en caso
de llegarse a presentar alguno. Hay que adquirir consciencia de posibles
relaciones de causa – efecto entre conflictos de interés y generación y tratamiento
de riesgos de acuerdo con el numeral 4.3.2 de la Norma ISO 31000.
La alta dirección se compromete a proporcionar los recursos necesarios y

suficientes a la gestión de riesgo para que sean aplicados de manera eficiente y
juiciosa a la gestión del riesgo y convoca a todos los líderes y directivos de
procesos y dependencias a informar acerca de las acciones que adelanten en
materia de gestión del riesgo realizando un seguimiento periódico a la efectividad
de los controles, con el compromiso y participación de los diferentes actores
universitarios en pro del mejoramiento continuo de la gestión de la institución.
Código: GA- PR-AC-
Versión: 0 Fecha:
5.2 DESCRIPCIÓN DE ACTIVIDADES
Responsab
Actividades Descripción
le
1. Definición El análisis del contexto estratégico de la Rector
del Universidad Sergio Arboleda se realiza a partir Secretario
contexto del conocimiento e identificación de General
estratégico situaciones del entorno tanto de carácter Decanos
social, económico, cultural, de orden público, Líderes de
político, legal y/o cambios tecnológicos que Procesos
afectan o puedan afectar el cumplimiento de Coordinador
los objetivos definidos en los procesos, y las es
particularidades internas de la Institución Profesores
como la estructura organizacional, el Estudiantes
presupuesto y procesos internos, entre otros. Proveedore
Para ello, cada líder de proceso define el s
contexto estratégico que determina la gestión
de las actividades y recursos del Área que
dirige, teniendo en cuenta:
 El ambiente externo en el cual la
Universidad Sergio arboleda, Santa Marta,
busca alcanzar sus objetivos, teniendo en
cuenta el ambiente social, cultural, político,
legal, financiero, tecnológico, económico
entre otros a nivel nacional e internacional.
 El ambiente interno en el cual la institución

busca alcanzar sus objetivos, que incluye
el direccionamiento estratégico, políticas,
objetivos, estrategias, estructura
organizacional, administración de recursos,
procesos y actividades.
Se recomienda la aplicación de varias

herramientas y técnicas como por ejemplo:
entrevistas con expertos en el área, reuniones
con directivos y con personas de todos los
niveles en la Universidad, lluvias de ideas con
los integrantes de las áreas y los equipos de
gestión, diagramas de flujo, herramientas de
estudio “causa y efecto” y análisis por
Código: GA- PR-AC-
Versión: 0 Fecha:
escenarios, entre otros.

Para el análisis del contexto el líder del
proceso puede utilizar como herramienta de
apoyo la matriz FODA; en la cual puede
identificar las Fortalezas, Oportunidades,
Debilidades y Amenazas del proceso.
Estas herramientas deben ser tenidas en
cuenta en cada fase de la Administración de
Riesgos, ya que la participación activa de los
integrantes del equipo de gestión permitirá
una correcta identificación, análisis, valoración
e implementación de los planes de tratamiento
de los riesgos.
Nota: Con la definición del contexto
estratégico se busca que la Universidad
obtenga los siguientes resultados:
 Identificar los factores externos e
internos que pueden ocasionar la
presencia de riesgos.
 Aportar información que facilite y
enriquezca las demás etapas de la
administración del riesgo.
2. Clasificació 2.1 Identificación de los riesgos Rector
n, Secretario
apreciación La fase de la identificación del riesgo debe ser General
, permanente e interactiva, debe basarse en el Decanos
evaluación, resultado del análisis del contexto estratégico Líderes de
análisis y y debe partir de la claridad de los objetivos de Procesos
calificación la Universidad, del proceso y de los equipos Coordinador
del riesgo de gestión. es
Profesores
La identificación del riesgo debe tener en Estudiantes
cuenta el conocimiento previo de situaciones Proveedore
que han o que pueden llegar a entorpecer u s
obstaculizar el cumplimiento de un objetivo, la
obtención de un resultado, obtener un
producto o servicio específico, el
(in)cumplimiento de un requisito legal,
organizacional o externo, y/o la
(in)satisfacción de los usuarios en la
Institución.
Código: GA- PR-AC-
Versión: 0 Fecha:
Se pueden tomar como referencia

metodologías tales como causa-efecto y la
espina de pescado, análisis de escenarios,
entrevistas, cuestionarios u otros.
Por cada riesgo identificado, se define en

primera instancia sus causas y efectos
(consecuencias) y su correspondiente
descripción. Para lo cual es importante
conocer al detalle lo siguiente:
Proceso: Proceso al cual se le asocian los

riesgos identificados.
Objetivo del proceso: se debe tener claridad

en el objetivo que se ha definido para el
proceso al cual se le están identificando los
riesgos.
Riesgo: Representa la situación o evento que

pueda entorpecer el normal desarrollo de las
funciones del proceso y/o entidad y afectar el
logro de sus objetivos.
Se deben tener en cuenta los siguientes

parámetros para la identificación de los
riesgos:
 El objetivo del proceso

 Los productos y/o servicios que genera el
proceso
 Las fallas del proceso
 Las contingencias del proceso.
La redacción del riesgo no se debe confundir

con un problema, asimismo, no se debe
redactar en términos de una no conformidad o
incumplimiento.
A continuación se presenta una clasificación

de los riesgos, las causas y consecuencias,
de manera que al momento de identificar y
Código: GA- PR-AC-
Versión: 0 Fecha:
describir un riesgo no se presenten

confusiones entre una categoría y otra:
2.1.1. Clasificación de los riesgos
Los riesgos pueden clasificarse en las

siguientes categorías:
 Riesgos de cumplimiento: Situaciones o

eventos que atentan contra el
cumplimiento de requisitos internos o
externos de la Institución.
 Riesgos estratégicos: Situaciones o
eventos que atentan contra el
cumplimiento de la misión y los objetivos
estratégicos, en función de sus políticas o
directrices institucionales.
 Riesgos financieros: situaciones o
eventos que atentan contra la
sostenibilidad financiera. Se relacionan
con el manejo de los recursos de la
Universidad, la eficiencia y transparencia
en el manejo de los recursos, así como
con la reducción de los flujos de ingresos
y/o aumento de los flujos de gastos.
 Riesgos de imagen: Están relacionados
con la percepción y la confianza por parte
de la ciudadanía hacia la institución.
 Riesgos operativos: Comprende los
riesgos relacionados tanto con la parte
operativa como técnica de la Universidad
relacionados con su función.
 Riesgos de tecnología: Se asocian con la
capacidad de la Institución para que la
tecnología disponible satisfaga las
necesidades actuales y futuras de la
Universidad y soporten el cumplimiento de
su misión.
Código: GA- PR-AC-
Versión: 0 Fecha:
 Riesgos de afectación del producto y/o

servicio: están asociados a la calidad en
la prestación de los servicios de la
institución.
 Riesgos de exposición de personas:
Situaciones con niveles críticos de
incidencia e impacto en personas
(empleados, estudiantes, profesores,
directivos, contratistas y/o visitantes).
 Riesgos en la gestión de activos:
Pérdida, daño, destrucción,
indisponibilidad de edificios, instalaciones,
equipos e inventarios propios o de
terceros.
 Gestión de la alta dirección:
Consecuencias de prácticas inapropiadas
de gobierno corporativo y/o de gestión.
 Riesgos de daños al medio ambiente:
afectación del medio ambiente a partir de
prácticas inadecuadas en la Universidad.
 Riesgo en la gestión del cambio:
Impacto sobre la empresa de procesos
de desarrollo estratégico y de cambio mal
gestionados.
2.1.2. Clasificación de las causas
En la Universidad Sergio Arboleda el análisis

de causas de los riesgos se hace a partir del
enfoque de las 9M:
1. Machine / Maquinaria /
Equipos/Tecnología
2. Man Power / Mind Power / Talento
humano
3. Management /Gestión
4. Method / Métodos
5. Measurement / Medición
6. Money Power / Dinero
Código: GA- PR-AC-
Versión: 0 Fecha:
7. Material / Materiales
8. Mother Nature / Medio ambiente
9. Maintenance / Mantenimiento
2.1.3. Clasificación de las consecuencias
Efectos (consecuencias): constituyen las

consecuencias de la ocurrencia del riesgo
sobre los objetivos de la Universidad, las
cuales se pueden clasificar en:
 Pérdidas económicas
 Pérdida de imagen
 Insostenibilidad financiera
 Incumplimientos legales
 Daños a la integridad física
 Llamados de atención
 Sanciones
 Reprocesos
 Insatisfacción del usuario
Nota: Cuando se generen dudas con respecto

a si se identificó un riesgo o realmente lo
identificado es una causa, se sugiere recordar
la frase del riesgo:
“Debido a _CAUSA_ puede ocurrir _RIESGO_

lo que conllevaría a _EFECTO_”
Con la realización de esta la etapa de

identificación de riesgos se busca que la
Universidad obtenga los siguientes resultados:
 Determinar las causas (factores internos o

externos) de las situaciones identificadas
como riesgos para los Procesos de la
Universidad Sergio Arboleda.
 Describir los riesgos identificados con sus
características.
 Precisar los efectos que los riesgos
puedan ocasionarle a los procesos y/o a la
Código: GA- PR-AC-
Versión: 0 Fecha:
Universidad
2.2 Análisis de los riesgos.
El análisis del riesgo busca establecer la

probabilidad de ocurrencia de los riesgos y las
consecuencias (impacto) de ellos,
calificándolos y evaluándolos para establecer
el nivel de riesgo y las acciones que
conformarán el plan de tratamiento a
implementar. El análisis del riesgo dependerá
de la información obtenida en el formato de
identificación de riesgos y los aportes de la
comunidad universitaria en general. Teniendo
en cuenta lo anterior, la responsabilidad del
análisis será de todos los colaboradores de la
Universidad Sergio Arboleda.
Se han establecido dos aspectos a tener en

cuenta en el momento de evaluar o analizar
los riesgos: la Probabilidad y el Impacto. La
Probabilidad puede ser medida con criterios
de Frecuencia, si se ha materializado, por
ejemplo: No. de veces que un riesgo ha
sucedido en un tiempo determinado, o de
Factibilidad teniendo en cuenta la presencia
de factores internos y externos que pueden
propiciar el riesgo, aunque éste no se haya
materializado. El Impacto se mide según el
grado en que las consecuencias o efectos
pueden perjudicar a la organización si se
materializa el riesgo.
La calificación del riesgo: se logra a través

de la evaluación de la probabilidad de
ocurrencia y el impacto de la materialización
del riesgo. Los criterios para la calificación son
subjetivos, depende de la particularidad del
riesgo y los antecedentes en cada uno de los
procesos y los equipos de gestión. Para fines
prácticos, la Universidad Sergio Arboleda –
Santa Marta, califica los riesgos según las
Código: GA- PR-AC-
Versión: 0 Fecha:
siguientes tablas:
2.2.1. Criterios para la calificación de la
probabilidad:
Valor de Nivel de
la la Frecuenci
Descripción
probabili probabili a
dad dad
El evento No se ha
puede ocurrir presentado
1 Raro solo en en los
circunstancias últimos 5
excepcionales años.
El evento Al menos 1
Improbab puede ocurrir vez en los
2
le en algún últimos 5
momento años.
El evento Al menos 1
podría ocurrir vez en los
3 Posible
en algún últimos 2
momento años.
El evento
probablement
Al menos 1
e ocurrirá en
4 Probable vez en el
la mayoría de
último año.
las
circunstancias
Se espera que
el evento
Casi ocurra en la Más de 1
5
Seguro mayoría de vez al año.
las
circunstancias
2.2.2. Criterios para calificación de

impacto
Valor
del Nivel de
Descripción
impac impacto
to
Si el hecho llegara a
Insignificant presentarse, tendría
1
e consecuencias o efectos
mínimos sobre la entidad.
2 Menor Si el hecho llegara a
Código: GA- PR-AC-
Versión: 0 Fecha:
presentarse, tendría bajo

impacto o efecto sobre la
entidad.
presentarse, tendría
3 Moderado
medianas consecuencias o
efectos sobre la entidad.
presentarse, tendría altas
4 Mayor
consecuencias o efectos
sobre la entidad
Catastrófic presentarse, tendría
5
o desastrosas consecuencias o
efectos sobre la entidad.
2.2.2.1. Descripción de los

niveles de impacto
Adicionalmente, se debe determinar el

impacto y su nivel correspondiente,
empleando las siguientes tablas que
representan los temas en que suelen impactar
la ocurrencia de los riesgos y se asocian con
la clasificación del riesgo previamente
realizada. También se relaciona con las
consecuencias potenciales del riesgo
identificado.
Se consideran los siguientes tipos de impacto:
 Impacto de confidencialidad de la
información: Se refiere a la pérdida o
revelación de la misma. Cuando se habla
de información reservada institucional se
hace alusión a aquella que por la razón de
ser de la entidad sólo puede ser conocida
y difundida al interior de la misma; así
mismo, la sensibilidad de la información
depende de la importancia que esta tenga
para el desarrollo de la misión de la
entidad.
Código: GA- PR-AC-
Versión: 0 Fecha:
Nivel Aspecto
1 Personal
2 Grupo de trabajo
3 Relativa al proceso
4 Institucional
5 Estratégica
 Impacto de credibilidad o imagen: Se

refiere a la pérdida de la misma frente a
diferentes actores sociales o dentro de la
entidad.
Nivel Aspecto
1 Grupo de funcionarios
2 Todos los funcionarios
3 Usuarios de la Ciudad
4 Usuarios de la Región
5 Usuarios del País
 Impacto operativo: El que ocurre en

procesos principalmente misionales y de
apoyo.
Nivel Aspecto
1 Ajustes a una actividad concreta
2 Cambios en procedimientos
3 Cambios en la interacción de los procesos
4 Intermitencia en el servicio
5 Paro total del proceso
 Impacto legal: Se relaciona con las

consecuencias legales para una entidad,
determinadas por los riesgos relacionados
con el incumplimiento en su función
administrativa, ejecución presupuestal y
normatividad aplicable.
Código: GA- PR-AC-
Versión: 0 Fecha:
Nivel Aspecto
1 Multas
2 Demandas
3 Investigación administrativa
4 Investigación fiscal
5 Intervención
Nota: Es posible que para un riesgo se

determine varios niveles y tipos de impacto.
2.3 Evaluación de los riesgos
Teniendo en cuenta los parámetros

previamente descritos de probabilidad y de
impacto, se deben identificar los criterios que
apliquen al riesgo identificado y realizar la
calificación acorde con la Matriz de
Calificación, Evaluación y Respuesta a los
Riesgos. Este primer análisis de denomina
riesgo inherente, donde no se tienen en
cuenta los controles.
Matriz de calificación, evaluación y

respuesta a los riesgos
Código: GA- PR-AC-
Versión: 0 Fecha:
Se cruza la calificación de probabilidad e

impacto y la zona que de cómo resultado,
implica identificar qué tipo de riesgo es,
acorde con la siguiente clasificación:
Riesgos inaceptables o no admisibles:

zona extrema y de riesgo alto (rojo y
amarillo) Se debe dar tratamiento a las
causas que generan el riesgo. Es decir, se
deben implementar controles de prevención
para reducir la Probabilidad del riesgo o
disminuir el impacto de los efectos; medidas
de Protección para compartir o transferir el
riesgo si es posible a través de pólizas de
seguros u otras opciones que estén
disponibles, las acciones que se definan como
tratamiento se deben establecer a corto plazo.
Riesgos importantes: (amarillo) se deben

tomar medidas para llevar los riesgos a la
zona baja, fortaleciendo los controles
existentes.
Riesgos moderados: zona moderada

(verde) se deben tomar medidas para llevar
los riesgos a la zona baja, fortaleciendo los
controles existentes.
Riesgos aceptables: zona baja (azul) el

riesgo se encuentra en un nivel que puede
aceptarse sin necesidad de tomar otras
medidas de control diferentes a las que se
poseen.
Con la realización de la etapa de análisis del

riesgo se busca que la Universidad obtenga
los siguientes resultados:
 Establecer la probabilidad de ocurrencia

de los riesgos, que pueden disminuir la
capacidad de la Universidad, para cumplir
su propósito.
Código: GA- PR-AC-
Versión: 0 Fecha:
 Medir el impacto, las consecuencias del

riesgo sobre las personas, los recursos o
la coordinación de las acciones necesarias
para llevar el logro de los objetivos
institucionales o el desarrollo de los
procesos.
 Establecer criterios de calificación y
evaluación de los riesgos que permitan
tomar decisiones pertinentes sobre su
tratamiento.
2.4 Análisis de controles.
2.4.1 Identificación de controles
Los controles se definen como mecanismos,

políticas, prácticas u otras acciones existentes
que actúan para minimizar el riesgo negativo
o potenciar oportunidades positivas en la
gestión del riesgo, con el fin de garantizar el
desarrollo y cumplimiento de las actividades
acorde a los requisitos institucionales. A
continuación se presenta la clasificación que
puede darse a los diferentes controles que se
implementan en la Seccional:
Los controles se pueden clasificar en:
 Controles preventivos: son la primera

barrera de seguridad, y corresponde a
aquellos que actúan para eliminar las
causas del riesgo para prevenir su
ocurrencia o materialización.
 Controles correctivos: aquellos que
permiten el restablecimiento de la actividad
después de ser detectado un evento no
deseable; también permiten la
modificación de las acciones que
propiciaron su ocurrencia. Dentro de los
controles de tipo correctivo se pueden
distinguir:
 Controles de detección: corresponden
Código: GA- PR-AC-
Versión: 0 Fecha:
a la segunda barrera de
seguridad. Es una alarma que se
acciona cuando se descubre una situación.
 Controles de protección: Constituyen
la tercera barrera de seguridad.
Este tipo de controles neutralizan o
disminuyen el efecto inmediato de un
riesgo materializado, con el fin de evitar
mayores pérdidas.
Al definir los controles se debe tener en

cuenta la viabilidad y costo de los mismos.
La clasificación de los controles puede estar

asociada a:
Controles de gestión: Son aquellos controles

orientados a garantizar el cumplimiento de las
estrategias, políticas y objetivos
institucionales, dentro de los cuales se
encuentran: los indicadores, evaluaciones,
auditorias, informes, comités etc.
Controles operativos: Son aquellos
controles enfocados a garantizar la ejecución
de las actividades, se encuentran soportados
en los manuales, procedimientos, guías o
instructivos definidos para desarrollar dicha
actividad; también hacen parte las funciones y
responsabilidades determinadas al personal,
la infraestructura y todos los recursos
dispuestos para la realización de dichas
actividades.
Controles legales: Son aquellos relacionados
con la normatividad interna y externa aplicable
a la Institución. Por ejemplo, Acuerdos,
Resoluciones etc. Los controles definidos
pueden estar incluidos en:
 Las actividades de los procedimientos.

 En la realización de actividades de
capacitación o sensibilización sobre
Código: GA- PR-AC-
Versión: 0 Fecha:
autocontrol y autoevaluación.
 Las auditorias y los planes de
mejoramiento.
2.4.2 Implementación de controles
La implementación de los controles se asocia

a que estén claramente definidos,
documentados, implementados, conocidos,
puestos en marcha y acorde a los criterios
establecidos.
2.4.3 Verificación de controles
La verificación en la implementación de los

controles se debe realizar por medio de
mecanismos como seguimientos,
evaluaciones y/o auditorias, con el fin de
asegurar el mantenimiento de los mismos y/o
necesidad de cambio de éstos.
2.4.4 Análisis de la efectividad de los

controles
El procedimiento para la valoración del riesgo

parte de la evaluación de los controles
existentes, lo cual implica revisar si cumplen
las siguientes características, con el fin de
evidenciar si el riesgo está siendo mitigado o
no. El control se encuentra:
a) Definido.
b) Documentado
c) Implementado
d) Socializado
e) Cuenta con seguimiento
f) Se ha evaluado de manera satisfactoria
El tipo de control puede evaluarse en una

escala de 1 a 3 de la siguiente manera:
Código: GA- PR-AC-
Versión: 0 Fecha:
Es importante aplicar la siguiente tabla de

análisis de controles acorde a las
características citadas que permita saber con
exactitud el número de posiciones dentro de la
matriz que se desplaza la valoración del
riesgo a fin de disminuir su nivel.
Nota: En caso que los controles no se

encuentren completamente implementados y
su efectividad no sea la esperada, se debe
generar un plan de acción enfocado a
garantizar su efectividad.
Los tipos de controles determinados como de

probabilidad son los controles operativos
como documentos, formatos, normas u otros
que se empleen de manera permanente. Los
tipos de controles determinados como de
impacto son aquellos controles enfocados a
evaluar como auditorias, indicadores u otros
relacionados.
Tenga en cuenta que debe dar prioridad al

Código: GA- PR-AC-
Versión: 0 Fecha:
control más representativo.

2.4.5 Análisis del riesgo residual
Después de haber definido los controles y

evaluarlos, debe volver a la matriz de
calificación y mover las casillas que apliquen
de acuerdo con los resultados obtenidos de la
calificación del control. Luego determinar el
estado del riesgo y después de confrontar los
controles si queda algún nivel o intensidad de
riesgo se denomina riesgo residual, que
también debe evaluarse, analizarse,
calificarse y tratarse según su probabilidad
e impacto, a no ser que su categoría sea
baja y controlada de manera razonable.
Debe tenerse en cuenta que la calificación

obtenida de los controles es una entrada para
definir las actividades de los planes de
tratamiento.
El proceso debe trabajar para lograr que sus

controles sean totalmente efectivos, sin
embargo eso no excluye realizar seguimiento
continuo para mantener o mejorar su
efectividad.
Nota: Con la realización de esta etapa

referida a la clasificación, apreciación,
evaluación, análisis y calificación del riesgo se
busca que la Universidad obtenga los
siguientes resultados:
 Identificación de los controles existentes

Código: GA- PR-AC-
Versión: 0 Fecha:
para los riesgos identificados y analizados.

 Priorización de los riesgos de acuerdo con
los resultados obtenidos de confrontar la
evaluación del riesgo con los controles
existentes, a fin de establecer aquellos que
pueden causar mayor impacto a la
Universidad en caso de materializarse.
 Elaboración del mapa de riesgos para
cada proceso.
3 Tratamient Rector
o de los El tratamiento de los riesgos involucra Secretario
riesgos identificar las opciones para tratar los riesgos, General
evaluar esas opciones (costo-beneficio, Decanos
viabilidad técnica y jurídica, etc.), preparar Líderes de
planes para tratamiento de los riesgos e Procesos
implementarlos. Coordinador
es
3.1 Opciones de manejo Profesores
Estudiantes
Se deben tener en cuenta alguna de las Proveedore
siguientes opciones, las cuales pueden s
considerarse, cada una de ellas,
independientemente, interrelacionadas o en
conjunto.
 Evitar el riesgo, tomar las medidas

encaminadas a prevenir su materialización.
Es siempre la primera alternativa a
considerar, se logra cuando al interior de
los procesos se genera cambios
sustanciales por mejoramiento, rediseño o
eliminación, resultado de unos adecuados
controles y acciones emprendidas. Un
ejemplo de esto puede ser el control de
calidad, manejo de los insumos,
mantenimiento preventivo de los equipos,
desarrollo tecnológico, etc.
 Reducir el riesgo, implica tomar medidas

encaminadas a disminuir tanto la
probabilidad (medidas de prevención de
Código: GA- PR-AC-
Versión: 0 Fecha:
ocurrencia), como el impacto (medidas de

protección). La reducción del riesgo es
probablemente el método más sencillo y
económico para superar las debilidades
antes de aplicar medidas más costosas y
difíciles. Se consigue mediante la
optimización de los procedimientos y la
implementación de controles.
 Compartir o Transferir el riesgo, reduce

su efecto a través del traspaso de las
pérdidas a otras organizaciones, como en
el caso de los contratos de seguros o a
través de otros medios que permiten
distribuir una porción del riesgo con otra
Universidad, como en los contratos a
riesgo compartido. Es así como por
ejemplo, la información de gran
importancia se puede duplicar y almacenar
en un lugar distante y de ubicación segura,
en vez de dejarla concentrada en un solo
lugar.
 Asumir un riesgo, luego de que el riesgo

ha sido reducido o transferido puede
quedar un riesgo residual que se mantiene,
en este caso el gerente del proceso
simplemente acepta la pérdida residual
probable y elabora planes de contingencia
para su manejo.
3.2 Acciones
Para el manejo de los riesgos se deben

analizar las posibles acciones a emprender,
las cuales deben ser factibles y efectivas,
tales como: la implementación de las políticas,
definición de estándares, optimización de
procesos y procedimientos y cambios físicos,
entre otros. La selección de las acciones más
conveniente debe considerar la viabilidad
Código: GA- PR-AC-
Versión: 0 Fecha:
jurídica, técnica, institucional, financiera y

económica y se puede realizar con base en
los siguientes criterios:
a) La valoración del riesgo

b) El balance entre el costo de la
implementación de cada acción contra
el beneficio de la misma.
Para la ejecución de las acciones, se deben

identificar las áreas o dependencias
responsables de llevarlas a cabo, definir un
cronograma y parámetros para realizar el
seguimiento y verificación de las actividades
realizadas.
Las acciones definidas se describen a través

de los planes de tratamiento.
3.3 Matriz de riesgos
Las matrices de riesgo están establecidas

para el cumplimiento de los objetivos de cada
equipo de gestión, por lo tanto cada uno de
ellos deben identificar y controlar los riesgos
de manera participativa, evidenciando la
contribución de los servidores de cada equipo
en la construcción y tratamiento.
Información que contiene la Matriz de

Riesgo:
Proceso: Hace relación al proceso al cual se

le administrará los riesgos.
Riesgo: posibilidad de ocurrencia de un

evento que pueda entorpecer el normal
desarrollo de las funciones de la Universidad y
le impidan el logro de sus objetivos.
Impacto: consecuencias que puede ocasionar

Código: GA- PR-AC-
Versión: 0 Fecha:
a la organización la materialización del riesgo.
Probabilidad: entendida como la posibilidad

de ocurrencia del riesgo; ésta puede ser
medida con criterios de Frecuencia, si se ha
materializado (por ejemplo: No. de veces en
un tiempo determinado), o de Factibilidad
teniendo en cuenta la presencia de factores
internos y externos que pueden propiciar el
riesgo, aunque éste no se haya materializado.
Evaluación del Riesgo: Resultado obtenido

en la matriz de calificación, evaluación y
respuesta a los riesgos teniendo en
consideración la probabilidad y el impacto de
estos.
Controles existentes: Especificar cuál es el

control que la Universidad tiene implementado
para combatir, minimizar o prevenir el riesgo.
Valoración del Riesgo: Es el resultado de

determinar la vulnerabilidad de la Universidad
al riesgo, luego de confrontar la evaluación del
riesgo con los controles existentes.
Opciones de Manejo: opciones de respuesta

ante los riesgos tendientes a evitar, reducir,
dispersar o transferir el riesgo; o asumir el
riesgo.
Acciones: es la aplicación concreta de las

opciones de manejo del riesgo que entrarán a
prevenir o a reducir el riesgo y harán parte del
plan de tratamiento del riesgo.
3.4 Plan de tratamiento
Los planes de tratamiento son el conjunto de

actividades (acciones) encaminadas a
prevenir y/o mitigar el riesgo, las cuales
Código: GA- PR-AC-
Versión: 0 Fecha:
comprenden su correspondiente descripción,

fechas de inicio, fechas de ejecución,
seguimiento y responsables.
Nota: En caso que se materialice un riesgo,

se debe generar el plan de mejoramiento
(acción correctiva) respectivo.
Con la realización de esta etapa se busca que

la Universidad obtenga los siguientes
resultados:
 Lograr un uso eficiente de los recursos.

 Garantizar la continuidad en la prestación
de los servicios
 Proteger los recursos de la Universidad
 Políticas de Administración de Riesgo
 Acciones de manejo y planes de
tratamiento para cada riesgo identificado.
4 Monitoreo y Es necesario monitorear continuamente los Rector
revisión. riesgos, la efectividad del plan de tratamiento, Secretario
las estrategias y el sistema de administración General
que se establece para controlar la Decanos
implementación. Los riesgos y la efectividad Líderes de
de las medidas de control necesitan ser Procesos
revisadas constantemente para asegurar que Coordinador
las circunstancias cambiantes no alteren las es
prioridades de los riesgos, la aparición de Profesores
riesgos remanentes. Es importante tener en Estudiantes
cuenta que pocos riesgos permanecen Proveedore
estáticos. s
Es esencial una revisión sobre la marcha para

asegurar que el plan de administración
mantiene su relevancia. Pueden cambiar los
factores que podrían afectar las
probabilidades y consecuencias de un
resultado, como también los factores que
afectan la conveniencia o costos de las
Código: GA- PR-AC-
Versión: 0 Fecha:
distintas opciones de tratamiento. En

consecuencia, es necesario repetir
regularmente el ciclo de administración de
riesgos.
El seguimiento es una parte integral del plan

de tratamiento de la administración de
riesgos; la periodicidad de la revisión de todos
los componentes de la administración de
riesgos lo determinaran al interior de cada
equipo de gestión, administrador de sus
riesgos.
4.1 Actualización del mapa de riesgos
Cuando el proceso evaluado presente

cambios organizacionales, como objetivo,
alcance y/o actividades se deberá actualizar el
mapa, teniendo como mínimo una revisión y/o
actualización anual a partir de su última fecha
de revisión.
5 Comunicaci 5.1 Comunicación y consulta. Rector

ón y mejora Secretario
continua. La comunicación y retroalimentación son una General
fase constante en cada fase del proceso de Decanos
administración de riesgos, por eso la Líderes de
importancia de un proceso de construcción y Procesos
tratamiento participativo y colectivo. Es Coordinador
primordial desarrollar un plan de es
comunicación de los riesgos y los tratamientos Profesores
para los actores internos y externos Estudiantes
interesados en los procesos y procedimientos Proveedore
de cada equipo de gestión. Este plan debería s
encarar aspectos relativos al riesgo en sí
mismo y al proceso, además de garantizar
que el flujo de información sea en ambas
direcciones que permita una asertiva toma de
decisiones.
Es importante la comunicación efectiva interna

y externa para asegurar que aquellos
Código: GA- PR-AC-
Versión: 0 Fecha:
responsables por implementar la

administración de riesgos logren visionar la
base sobre la cual se toman las decisiones y
por qué se requieren ciertas acciones en
particular.
Las percepciones de los riesgos pueden variar

debido a diferencias en los supuestos,
conceptos, las necesidades, aspectos y
preocupaciones de cada equipo de gestión y
por lo tanto de los actores interesados para
cada caso. Los interesados normalmente
actúan haciendo juicios de aceptabilidad de
los riesgos basados en su percepción y
experiencia.
5.2 Evaluación de la gestión de riesgos
La evaluación de la efectiva gestión del riesgo

se puede evidenciar a través de:
 La disminución de la valoración de los

riesgos significativos identificados.
 El aumento del número de controles
existentes.
 Los resultados de la evaluación de
efectividad de los controles.
 La ejecución de los planes de tratamiento
determinados.
 La (in)materialización del Riesgo.
 Los resultados asociados al desempeño de
los procesos.
 El Cumplimiento de los Objetivos
Institucionales.CA
Código: GA- PR-AC-
Versión: 0 Fecha:
6. INDICADORES
Nombre Meta Fórmula Frecuencia Responsable

Porcentaje de (Número de
riesgos inadmisibles riesgos
tratados en relación inadmisibles
Líderes de
con la cantidad de 100 tratados/Número Anual
procesos
riegos inadmisibles de riesgos
identificados en la inadmisibles
universidad identificados)*100
7. FORMATOS
Códig Lugar Tiemp

Medio de
o del Respon de o de Disposici
Nombre conservaci
format sable archiv archiv ón
ón
o o o
Plantilla de
identificació
F-AC- Coordin Gestió
n, 80 Conservac
ación del n de la Digital
50 valoración y años ión total
SGC Calidad
tratamiento
de riesgos
8. DOCUMENTOS DE REFERENCIA
 NTC-ISO 9001:2008
 NTC-ISO 31000:2011
9. ANEXOS

Procedimiento Gesti

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Procedimiento Gesti

Cargado por

Copyright:

Formatos disponibles

Código: GA- PR-AC-

Sistema de Gestión de la Calidad 009

PROCEDIMIENTO GESTIÓN DE RIESGOS

CONTROL DE CAMBIOS DEL DOCUMENTO

Elaborado por: Revisado por: Aprobado por:

Jairo Sánchez Quintero Jairo Sánchez Quintero Camilo Noguera Abello

1. OBJETIVO DEL PROCEDIMIENTO

El presente documento aplicará a todas las actividades y relaciones de la

 A todos los procesos de institución.

 Calidad: grado en el que un conjunto de características inherentes al servicio

 Control Protección: Constituyen la tercera barrera de seguridad o neutralidad

5.1 POLÍTICAS DE RIESGOS

La Universidad Sergio Arboleda Seccional Santa Marta se compromete con la

la visión, la misión, los objetivos contemplados en el Proyecto Educativo

Los riesgos en la Universidad podrían ser de carácter estratégico, financiero,

La gestión del riesgo en la Universidad es responsabilidad y obligación de todos

La alta dirección se compromete a proporcionar los recursos necesarios y

5.2 DESCRIPCIÓN DE ACTIVIDADES

 El ambiente interno en el cual la institución

Se recomienda la aplicación de varias

escenarios, entre otros.

Se pueden tomar como referencia

Por cada riesgo identificado, se define en

Proceso: Proceso al cual se le asocian los

Objetivo del proceso: se debe tener claridad

Riesgo: Representa la situación o evento que

Se deben tener en cuenta los siguientes

 El objetivo del proceso

La redacción del riesgo no se debe confundir

A continuación se presenta una clasificación

describir un riesgo no se presenten

Los riesgos pueden clasificarse en las

 Riesgos de cumplimiento: Situaciones o

 Riesgos de afectación del producto y/o

En la Universidad Sergio Arboleda el análisis

Efectos (consecuencias): constituyen las

Nota: Cuando se generen dudas con respecto

“Debido a _CAUSA_ puede ocurrir _RIESGO_

Con la realización de esta la etapa de

 Determinar las causas (factores internos o

2.2 Análisis de los riesgos.

El análisis del riesgo busca establecer la

Se han establecido dos aspectos a tener en

La calificación del riesgo: se logra a través

2.2.2. Criterios para calificación de

presentarse, tendría bajo

2.2.2.1. Descripción de los

Adicionalmente, se debe determinar el

Se consideran los siguientes tipos de impacto:

 Impacto de credibilidad o imagen: Se

 Impacto operativo: El que ocurre en

 Impacto legal: Se relaciona con las

Nota: Es posible que para un riesgo se

2.3 Evaluación de los riesgos

Teniendo en cuenta los parámetros

Matriz de calificación, evaluación y

Se cruza la calificación de probabilidad e

Riesgos inaceptables o no admisibles:

Riesgos importantes: (amarillo) se deben

Riesgos moderados: zona moderada

Riesgos aceptables: zona baja (azul) el

Con la realización de la etapa de análisis del

 Establecer la probabilidad de ocurrencia